Ing manajer paket dikenali (CVE-2019-18192), sing ngidini kode dieksekusi ing konteks pangguna liyane. Masalah kasebut dumadi ing konfigurasi Guix multi-user lan disebabake kanthi salah nyetel hak akses menyang direktori sistem karo profil pangguna.
Kanthi gawan, ~/.guix-profile profil pangguna ditetepake minangka pranala simbolis menyang /var/guix/profiles/per-user/$USER direktori. Masalahe yaiku ijin ing direktori /var/guix/profiles/per-user/ ngidini pangguna nggawe subdirektori anyar. Penyerang bisa nggawe direktori kanggo pangguna liyane sing durung mlebu lan ngatur kode supaya bisa mlaku (/var/guix/profiles/per-user/$USER ana ing variabel PATH, lan penyerang bisa nyelehake file sing bisa dieksekusi. ing direktori iki sing bakal dieksekusi nalika korban lagi mlaku tinimbang file eksekusi sistem).
Source: opennet.ru